ایزو ۲۷۰۰۵ – استاندارد مدیریت ریسک امنیت اطلاعات

ایزو 27005

ایزو ۲۷۰۰۵ یک استاندارد بین‌المللی است که نحوه ارزیابی ریسک امنیت اطلاعات را مطابق با الزامات ایزو ۲۷۰۰۱ شرح می‌دهد. عنوان دقیق این استاندارد همان‌طور که در وب‌سایت ISO بیان شده است « ISO/IEC 27005- فناوری اطلاعات – تکنیک‌های امنیتی – مدیریت ریسک امنیت اطلاعات» است. همان‌طور که از نام آن پیداست، سازمان بین‌المللی استاندارد (ISO) و کمیسیون بین‌المللی الکتروتکنیکی (IEC) این استاندارد را منتشر کرده‌اند. به طور دقیق‌تر، از امنیت اطلاعات بر اساس رویکرد مدیریت ریسک پشتیبانی می‌کند.

ایزو ۲۷۰۰۵ چیست؟

ایزو ۲۷۰۰۵ یا  استاندارد مدیریت ریسک امنیت اطلاعات بر اساس دستورالعمل‌های تعیین شده در ISO/IEC 27001 و ISO/IEC 27002 تدوین شده است. این استاندارد ابتدا در ژوئن ۲۰۰۸ با نام اختصاری ISO/IEC 27005:2008 منتشر شد. سپس در سال‌ها ۲۰۱۱ و ۲۰۱۸ مورد بازبینی قرار گرفت و به‌روزرسانی شد.

متن ایزو ۲۷۰۰۵ به‌صورت خلاصه در فصل‌های ششم تا دوازدهم یک رویکرد مدیریت ریسک سیستم‌های اطلاعاتی را توسعه می‌دهد. فصل هفتم به طور خاص به تجزیه‌وتحلیل ریسک می‌پردازد که از الزامات یک استراتژی مناسب امنیت سایبری است. فصل هشتم بر ارزیابی ریسک تمرکز دارد و فصل نهم تا دوازدهم نحوه اجرای استراتژی درمان خطر و نحوه پیگیری آن را شرح می‌دهد.

ایزو 27005 چیست؟

چه کسانی از این استاندارد استفاده می‌کنند؟

سازمان بین‌المللی استاندارد، ISO 27005 را به شرکت‌ها و به مؤسسات عمومی مانند «سازمان‌های دولتی» و سازمان‌های غیرانتفاعی توصیه می‌کند. در عمل، این استاندارد امنیت اطلاعات برای اطمینان از محرمانه بودن داده‌ها و دردسترس‌بودن و یکپارچگی دارایی‌های اطلاعاتی و کلیدی یک سازمان استفاده می‌شود و برای تمام ساختارهایی طراحی شده است که تحت‌تأثیر خطرات سایبری و افزایش مداوم داده‌ها قرار می‌گیرند.

ایزو ۲۷۰۰۵ چگونه کار می‌کند؟

این استاندارد بین‌المللی شامل بیش از ۲۰ صفحه از رویکردهای مدیریت ریسک امنیت اطلاعات است. بااین‌حال، مفاهیم کلی را از طریق چهار مرحله اصلی پشتیبانی می‌کند:

زمینه‌سازی مدیریت ریسک

زمینه‌سازی تحلیل ریسک شامل تعیین محل شروع مدیریت ریسک و پایان آن است. همچنین زمانی برای تنظیم یک سری معیارها است:

  • معیارهای ارزیابی که دارایی‌هایی را که توسط خطرات سایبری تهدید می‌شوند و آستانه‌هایی که بالاتر از آن‌ها باید با خطرات مقابله شود را شناسایی می‌کنند.
  • معیارهای تأثیر که حداقل سطح پیامدهای قابل‌تحمل ریسک را برای هر شرکت مشخص می‌کنند.
  • معیارهای پذیرش ریسک که آستانه تحمل ریسک هر شرکت را مشخص می‌کنند.

ارزیابی ریسک

در طول این مرحله، ابتدا عناصر در معرض خطر را تعیین کنید. سازمان به‌عنوان یک کل، سیستم‌های اطلاعاتی، خدمات و گروه‌های داده. در مرحله بعد، باید تهدیدات و آسیب‌پذیری‌های اطراف این عناصر را مشخص کنید. ISO 27005 از شما می‌خواهد که تهدیدها و تأثیرات آنها را با نیازهای امنیتی ساختار خود مطابقت دهید. کل این فرایند باید به شما کمک کند اولویت‌ها را بر اساس معیارهای ارزیابی که در مرحله اول تعریف کرده‌اید رتبه‌بندی کنید.

درحالی‌که استاندارد ISO 27005 به شناسایی آسیب‌پذیری‌های امنیت سایبری کمک می‌کند، اما مقیاس رتبه‌بندی ریسک را ارائه نمی‌کند. تیم مسئول اعمال استاندارد باید یک سیستم ارزیابی برای خود بسازد. این سیستم می‌تواند به روش‌های برآورد کیفی یا کمی تکیه کند که روش دوم مبتنی بر هزینه‌های قابل‌اندازه‌گیری است.

استراتژی درمان ریسک

ساختار شما باید اهداف امنیت فناوری اطلاعات را تعیین کند و درعین‌حال نتایج به‌دست‌آمده در مرحله دوم را در نظر داشته باشد. پس از تعیین این اهداف، می‌توانید مشخصات خود را پیش‌نویس کنید که به طراحی اقدامات برای درمان خطرات کمک می‌کند. به کمک ایزو ۲۷۰۰۵ باید اثرات ریسک را با هزینه درمان آن مقایسه و بر اساس نوع مقابله خود با ریسک را انتخاب کنید. بر اساس نتایج این ارزیابی و سطح ریسک چهار انتخاب دارید:

  • اجتناب: اگر عواقب بروز ریسک خیلی بالا باشد باید به هر قیمتی از آن اجتناب کرد. ممکن است لازم باشد فعالیت‌هایی را که احتمالاً باعث آن ریسک می‌شود را متوقف کنید.
  • انتقال: ساختار شما ریسک را با یک شخص ثالث (بیمه یا پیمانکار فرعی امنیت سایبری) به اشتراک می‌گذارد که حداقل بتواند از نظر مالی در برابر خطرات محافظت شود.
  • کاهش: اقداماتی را برای کاهش تأثیر یا احتمال وقوع یک خطر طراحی می‌کنید تا آن را قابل‌تحمل‌تر کنید.
  • حفاظت: خطر قابل‌تحمل تلقی می‌شود و به‌اندازه کافی تهدید نیست. ساختار شما تصمیم می‌گیرد تا قبل از بروز حادثه به آن رسیدگی نکند.

پذیرش ریسک

استراتژی درمان ریسک و خطرات باقیمانده باید از مرحله پذیرش عبور کنند؛ یعنی کل طرح درمان باید توسط مدیریت ارشد تأیید شود. در طول این مرحله، رؤسای بخش‌ها ممکن است هزینه‌های پیشگیری و درمانی را که فکر می‌کنند خیلی زیاد است تأیید نکنند و ترجیح دهند ریسک‌های خاصی را بپذیرند.

متدولوژی ایزو ۲۷۰۰۵ از نظر تئوری در اینجا به پایان می‌رسد؛ اگرچه باید به‌خاطر داشته باشید که تمام کارهایی که سازمان شما در طول این فرایند انجام داده است می‌تواند به‌عنوان بخشی از یک‌روند نظارت و بازبینی استفاده شود. سناریوهایی که تصور کرده‌اید، تجزیه‌وتحلیل ریسکی که انجام داده‌اید و استراتژی‌های درمانی که تنظیم کرده‌اید در قالب تاریخچه‌ای از خطرات شناسایی شده ثبت می‌شوند. هر زمان که تهدیدها مجدداً آشکار شد یا با خطرات جدیدی مواجه شدید می‌توانید از تجارب خود در مراحل قبل کمک بگیرید.

مزایای روش مدیریت ریسک ایزو ۲۷۰۰۵

این استاندارد مدیریت ریسک سایبری دارای چندین مزیت است که یکی از قابل‌توجه‌ترین آنها سازگاری آن با انواع مختلف ساختارها است. سازمان شما می‌تواند با راه‌های مختلفی از مزایا استاندارد ISO/CEI 27005 بهره‌مند شود. به‌عنوان‌مثال:

  • می‌توانید این روش را به‌تنهایی و بدون پیش‌نیاز قبلی استفاده کنید.
  • مهارت‌های تیم‌ شما را برای مدیریت ساختاریافته ریسک سایبری توسعه می‌دهد.
  • نقاط ضعف و تهدیدهای مختلف سیستم را شناسایی و ارزیابی می‌کند.
  • سازمان شما را از یک ISMS انعطاف‌پذیر بهره‌مند می‌کند.
  • برای انواع سازمان‌ها با ساختارها مختلف تنظیم می‌شود.
  • اعتماد ذی‌نفعان به شما را افزایش می‌دهد.

امنیت اطلاعات

چرا سازمان‌ها باید ایزو ۲۷۰۰۵ را اخذ کنند؟

بر خلاف سایر استانداردهای رایج مدیریت ریسک که یک رویکرد ثابت برای همه سازمان‌ها دارند، ISO 27005 ماهیت انعطاف‌پذیری دارد و به سازمان‌ها اجازه می‌دهد تا رویکرد خود را برای ارزیابی ریسک بر اساس اهداف تجاری خاص خود انتخاب کنند. این رویکرد ثابت کمک می‌کند تا اطمینان حاصل کنید قبل از شروع هر گونه فعالیت دررابطه‌با مدیریت ریسک، تمام اطلاعات موردنیاز را در اختیار دارید. این استاندارد از ساختاری ساده و قابل‌تکرار پیروی می‌کند که هر یک از بندهای اصلی در چهار بخش زیر سازماندهی شده است:

  • ورودی: اطلاعات لازم برای انجام یک عمل
  • عمل: خود فعالیت
  • راهنمای پیاده‌سازی: هر گونه جزئیات اضافی
  • خروجی: اطلاعاتی که توسط فعالیت تولید می‌شود

جمع‌بندی

استاندارد ایزو ۲۷۰۰۵ از منطقی پیروی می‌کند که یادآور روش PDCA  (طرح، انجام، بررسی، عمل) برای بهبود مستمر است. به‌این‌ترتیب که خطرات سایبری را شناسایی و ارزیابی کنید. سپس به‌صورت استراتژیک در مورد اقدامات کاهش ریسک مربوطه برنامه‌ریزی کنید. شما باید بررسی عملکرد را انجام دهید تا مطمئن شوید اقدامات برنامه‌ریزی شده اجرا می‌شود یا خیر و با بررسی چگونگی عملکرد از بهبود استراتژی درمان ریسک خود اطمینان حاصل کنید.

اخذ گواهینامه ایزو معتبر

ایزوسیستم با همکاری برترین مراجع صدور (CB)، انواع گواهینامه‌های بین‌المللی ایزو (ISO) را برای سازمان‌ها و سایر مراکز تجاری و غیرتجاری صادر می‌کند. شرکت دانش بنیان خانه مدیران، ایزوسیستم را به‌عنوان برند تجاری خود ثبت کرده و از سال ۱۳۸۵ در حوزه ارائه خدمات مشاور مدیریت و صدور گوهینامه‌های بین‌المللی ایزو فعالیت می‌کند.

برای اخذ ایزو از طریق صفحه دریافت ایزو درخواست خود را به صورت سریع ثبت کنید. برای کسب اطلاعات بیشتر می‌توانید از طریق شماره‌های ۳۳۴۴۴۸۱۴-۰۲۳ و ۳۳۴۴۴۸۱۳-۰۲۳ با ما در تماس باشید یا از طریق تکمیل فرم اخذ ایزو کارشناسان ما با شما تماس خواهند گرفت.

این مقاله به صورت اختصاصی توسط تیم فنی ایزوسیستم آماده شده است، هرگونه بهره برداری بدون ذکر نام و آدرس منبع شرعا و قانونا ممنوع می باشد.

نیاز به مشاوره دارید؟ با ما تماس بگیرید...

تماس با ایزوسیستم ۳۳۴۴۴۸۱۳-۰۲۳ و ۳۳۴۴۴۸۱۴-۰۲۳

درخواست گواهینامه ایزو
درخواست مشاوره رایگان
دانلود رزومه ایزوسیستم

ایزوسیستم برترین مرکز صدور مدارک بین المللی ایزو و دارنده مجوز سازمان صنعت، معدن و تجارت می باشد.

هشدار: مراقب نیش مراکز بدون مجوز رسمی در حوزه ی خدمات مشاوره و صدور گواهینامه های ایزو باشید!

کنترل کیفیت یا QC چیست؟

بیماری کرونا و اخذ گواهینامه ایزو!

مدیریت انرژی کسب و کار خود را با ایزو ۵۰۰۰۴ جدید (ISO 50004:2020) بهبود دهید!

QMS برای صنعت تجهیزات پزشکی